专利名称:无线接入网络中使用访问授权区分的方法及安全漫游方法
技术领域:
本发明涉及一种用于在无线网络中分配密钥的方法,尤其涉及一种根据无线接入网络中的访问授权类预先分配密钥从而能执行快速漫游的密钥分配方法,以及使用分配密钥的漫游方法。
背景技术:
在无线网络中,为了确保数据和用户认证的保密性,数据在传输前被加密。为了加密,就需要密钥。现在,访问前在无线基站(STA)和接入点(AP)之间共享密钥。
然而,无线局域网(LAN)的用户正在持续增加。但在漫游或切换期间用于交换密钥的时间太长。这主要是由于在漫游时共享密钥方法的原因。因此,当考虑到无线LAN的移动特征时,现有的密钥交换方法对用户来说是不方便的。
因此,人们期望漫游或切换期间由交换密钥引起的延迟时间达到最小。最终,人们期望根据基于用户属性的访问授权类来区分密钥。
在无线接入网络中,为了在无线链接时执行加密,STA与AP共享一个密钥。当一STA在多个AP间漫游或发生切换时,STA启动一从AP处获取用于加密的密钥的过程。此时,相对于STA的快速安全的漫游,最大的问题是由交换密钥引起的延迟时间。
在现有技术中,在由广域网(WAN)、LAN、AP和STA组成的无线网络中,连接到一个AP的所有STA使用一个相同的密钥。因此,当STA试图接入包含于相同LAN或其它LAN中的另一AP时,所述STA使用另一密钥。同样地,无论漫游或是切换,STA应该接收另一相应的密钥。
相应地,在现有方法中,无论什么时候STA漫游或是在多个AP间有切换,STA必须启动从AP获取一个密钥的进程。因此,当STA移动时,很难执行快速安全的漫游。
发明内容
本发明提供一种方法,通过该方法,当预先设置一接入点(AP)的访问授权时,对于不同的访问授权类型使用不同的密钥。通过无线基站预先获得不同的密钥,从而实现了快速安全的漫游并且使由交换密钥而引起的延迟时间最小化。
根据本发明的一方面,提供一种根据访问授权类而分配密钥的方法,其中预先设置接入点的访问授权,根据访问授权类型区分密钥,并且无线基站预先获取被区分的密钥。
根据本发明的又一方面,提供一种根据访问授权类而分配密钥的方法,包括步骤(a)无线基站发送到接入点的授权请求,并且被要求执行授权的所述接入点确定到接入点的访问授权;(b)根据所述确定结果,获取密钥并且产生包括所获密钥的共享密钥集;(c)无线基站请求LAN授权服务器执行授权,并且被要求执行授权的LAN授权服务器确定到属于LAN的一个接入点的访问授权;(d)根据所述确定结果,获取密钥并且通过将所述密钥添加到共享密钥集中而更新所述共享密钥;(e)无线基站请求WAN授权服务器执行授权,并且被要求执行授权的WAN授权服务器确定到属于WAN的一个接入点的访问授权;以及,(f)根据所述确定结果,获取密钥并且通过将所述密钥添加到共享密钥集中而更新所述共享密钥。
根据本发明的又一方面,提供一种用于无线基站的使用根据访问授权类分配的密钥的漫游方法,包括步骤(a)预先设置到一接入点的访问授权,根据多个访问授权类型区分所述多个密钥,以及无线基站预先获取包括对于各个接入点的被区分的多个密钥的密钥集;(b)利用当前在所述密钥集中选定的密钥来接收与一无效通信的接入点通信的命令;(c)确定到无效通信的接入点的访问授权;(d)根据所确定的访问授权从预先获取的密钥集中选择密钥;以及(e)使用选定的密钥加密一传输报文并且与所述无效通信的接入点进行通信。
根据本发明的再一方面,提供一种计算机可读介质,其上记录有根据本方法的计算机程序。
根据本发明的再一方面,提供一种用于根据访问授权类而分配密钥的装置,所述装置包括访问授权确定单元,用于确定对于在来自多个无线基站的一个无线基站和来自多个接入点的一个接入点之间通信的访问授权类;密钥存储单元,根据所述访问授权类而存储所述多个密钥;以及密钥分配单元,用于读取来自所述密钥存储单元的、对应于所述访问授权确定单元的确定结果的密钥,并且将所述密钥值传送给无线基站。
根据本发明的附加方面,提供一种计算机可读介质,其上记录有在无线网络中根据访问授权类用于分配密钥的无线数据分组的结构,所述无线网络包括无线基站和接入点。用于分配密钥的无线数据分组结构是根据访问授权类设置的,所述介质包括经由无线网络传送的所述数据分组的报头;访问授权信息存储字段,表示在无线基站和接入点之间通信的访问授权;加密数据字段,其中加密并存储将被传送的数据内容;以及纠错字段,用于校正数据错误。
参照附图,本发明的上述目的和优点将在下述的优选实施例的详细描述中变得更清晰。
图1是现有技术中使用普通密钥的方法的示意图;图2是依据本发明使用密钥的方法的示意图;图3是本发明在初始授权期间分配密钥的方法步骤的流程图;图4是根据访问授权类的用于加密的分组报头的结构图;图5是根据访问授权类而分配密钥的装置的框图。
具体实施例方式
如图1所示,无线网络由WAN,LAN,接入点(AP)和无线基站(STA)组成。其中,WAN是一地域上散布的通信网络,用于表示比LAN覆盖了更广面积一通信结构。通常,LAN的覆盖范围可能局限于一建筑物、学校的一部分、实验室、或者生产工厂,而WAN却是可以连接遥远区域的通信网络,所述遥远区域在地理上可能是不相连的,如一个国家与另一个国家,或一个洲与另一个洲。
如图1所示,连接到AP 102的STA 131、132和133使用相同的密钥。由于其它AP 101、103和104需要不同的密钥,因此连接到AP 101、103和104的STA 131、132和133使用又一相同的密钥。例如,连接到AP 101的STA 131、132和133必须使用密钥#1-1111,而连接到AP 102的STA 131、132和133必须使用密钥#1-2112。因此,STA 131、STA 132和STA 133都使用密钥#1-2112以访问AP 102。
当STA连接到位于同一LAN上唯一AP或另一LAN上的AP时,该STA必须使用唯一密钥。因此,无论漫游或是执行越区切换(handoff),STA应该接收一个与它所连接的AP相对应的密钥。例如,为了与在LAN2 140上的AP 141通信,STA1 131需要一个新的密钥#2-3142来代替现有的密钥#1-2112。
图2举例说明了本发明的使用密钥的方法。为使用由本发明提供的被分类的密钥,应该访问授权类。将密钥分为以下四类类1,表示到STA所属的AP的访问授权,类2,表示到STA所属的LAN的预定AP的访问授权,类3,表示到STA所属的LAN的所有AP的访问授权,类4,表示到WAN的多个接入点的访问授权。
当执行初始授权时,STA获取所有允许的密钥。例如,STA1 210需要类1密钥#1221以便与AP1-2220通信,类2密钥#2231以便与AP1-3230通信,类3密钥#3241以便与AP1-4240通信,以及类4密钥#4252以便与来自另一LAN、LAN2 250的AP2-2251通信。
因此,STA1 210获取一组从#1到#4260的密钥。
优选地,类具有优先级。对于信息的访问授权,优先级以下述顺序设定类1>类2>类3>类4,而对于使用网络的授权,优先级以下述顺序设定类1<类2<类3<类4。信息的访问授权确定哪个类STA可以首先使用被请求的AP,以便为同时希望访问AP的STA确定优先级。使用网络的授权可以理解为使用网络而不是其它的授权。即,类4表示STA可以与所有的AP通信并具有使用网络的较高授权。根据类来区分密钥,并且当执行STA的初始授权时,提前将与一STA的类相对应的密钥分配给STA。
当STA从一个AP切换到另一个AP时或是从一个LAN上的AP切换到另一个LAN上的AP时,STA在共享的密钥集中选择密钥之一并执行加密,所述密钥在STA开始第一次漫游时被赋值。以这种方式,STA可以减少由密钥交换而引起的延迟时间。
图3示出了举例说明用于在初始授权期间分配密钥的方法的流程图,该方法包括用于根据在本发明的无线接入网络中的访问授权而区分密钥的方法。为了根据在由WAN、LAN和AP组成的无线网络中的类而分配密钥,在步骤350中STA 310通过请求授权直接与AP 320通信。由STA 310和AP 320共享的密钥集是指共享密钥集(SK)。
AP 320遵循下述授权步骤。在授权开始时,在步骤351中AP 320确定STA 310是否对应于类1。如果STA 310对应于类1,则在步骤352中AP 320产生一共享集SK={SK1},或如果没有找到对应于类1的,则在步骤353设置SK={NULL}。接着,在步骤354中,AP 320发送一授权请求到LAN授权服务器330。
在步骤355中,LAN授权服务器330判断STA 310是否对应于类2。如果STA 310对应于类2,则LAN授权服务器330产生一新的共享密钥SK2并且在步骤356,通过将它与现存共享密钥SK结合而形成一新的共享密钥集SK=SKU{SK2}。如果STA310不对应于类2,则跳过步骤356并在判断步骤357继续处理过程。然而,在步骤357中,LAN授权服务器330判断STA 310是否对应于类3。如果STA 310对应于类3,则LAN授权服务器330产生一新的共享密钥SK3并且在步骤358中形成一新的共享密钥集SK=SKU{SK3}。如果在步骤355中现存共享密钥SK={NULL},则LAN授权服务器330首先产生SK={SK2},然后产生SK={SK2}U{SK3}。如果STA 310不对应于类3,则跳过步骤358。
接着,在步骤359中STA 310发送一授权请求到WAN授权服务器340。在步骤360中,WAN授权服务器确定STA 310是否对应于类4。如果STA 310对应于类4,则WAN授权服务器340将一共享密钥SK4添加到由LAN授权服务器330传送的共享密钥集SK中。这样的话,在步骤361中授权服务器340产生一新的共享密钥集SK=SKU{SK4},完成所述授权,并在步骤362将共享集SK传送到STA 310。如果STA 310不对应于类4,则跳过步骤361并在步骤362再启动处理过程。如果WAN授权服务器340没有授权STA 310,那么它就将由LAN授权服务器330提供的共享密钥集传送到STA 310并完成授权。如果那时共享密钥集SK是SK={NULL},则拒绝授权。
图2示出了用于使用根据访问授权类的密钥的安全、快速的漫游方法。在初始授权获取共享密钥集SK后,STA使用SK1加密数据,并且将所述数据传送到被分配了STA的AP。现在参考图4,图4描述了用于在STA和AP间通信的传送消息报头中表示访问授权的方法中的消息格式。当STA切换到类2的AP时,STA将使用SK2加密数据。同样地,当STA与类3的AP通信时,STA使用SK3,并且当STA与类4的AP通信时,STA使用SK4加密数据。图4示出了用于表示报头的访问授权的方法。
图4举例说明了根据访问授权类加密的分组报头的结构,该分组是通过无线传送网络接收和传送的,它包括报头410、访问授权信息字段420、加密数据字段430,以及纠错字段440。因此,通过在分组访问授权信息字段420中分配两比特用于存储访问授权信息,就可以用两个比特可能的组合来表示四个类。例如,“00”、“01”、“10”和“11”可分别表示类1、2、3和4。
图5举例说明了一种根据访问授权类而分配密钥的装置,该装置包括访问授权确定单元510、密钥存储单元520、以及密钥分配单元530。所述访问授权确定单元510确定在STA和AP间通信的访问授权类。这种类包括类1,表示到被分配了STA的AP的访问授权,类2,表示到包含于被分配了STA的LAN中的预定接入点的访问授权,类3,表示到包含于被分配了无线基站的LAN中的所有AP的访问授权,以及类4,表示到包含于WAN中的多个AP的访问授权。
如果STA请求AP的授权,所述访问授权确定单元510确定STA的访问授权类。密钥存储单元520预先根据类存储密钥。基于所述访问授权确定单元510所确定的结果,密钥分配单元530读取来自密钥存储单元520的密钥,并且将其值传送到STA。
本发明可以以由计算机的、在可读记录介质中的机器码来体现。所述计算机可读记录介质包括各种其中存储计算机可读数据的记录设备。所述计算机可读记录介质包括但不限于下述存储媒体,例如诸如ROM、软盘、硬盘等的磁存储媒体,诸如CD-ROM、DVD等的光可读媒体,诸如随机存储器(RAM)和闪存等的存储器,诸如在因特网上传输的载体波。
前面已经阐述和图示了本发明的最佳实施例。然而,本发明并不仅限于上述的优选实施例,在本发明所附的权利要求限定的精神和范围内,本领域普通技术人员对本发明做出的各种有效变化和修改也是可以理解的。因此,本发明的保护范围并不是由前述的说明书而是由所附权利要求决定。
如上所述,本发明描述了根据访问授权类的密钥区分和使用该密钥的快速安全的漫游方法。这样的话,本发明减少了当无线终端移动时由密钥分布引起的延迟时间,结果导致了快速和安全的漫游和切换,并实现了用户数据的方便安全的传输。
权利要求
1.一种用于根据多个访问授权类而分配多个密钥的方法,所述方法包括步骤预先设置至少一个接入点的访问授权;根据多个访问授权类型区分所述密钥;以及通过至少一个无线基站预先获取被区分的密钥。
2.如权利要求1所述的方法,其中访问授权类型包括类1,表示到被分配了无线基站的访问点的访问授权,类2,表示到包含于被分配了无线基站的局域网(LAN)中的预定接入点的访问授权,类3,表示到包含于被分配了无线基站的局域网(LAN)中的所有接入点的访问授权,类4,表示到包含于广域网(WAN)中的多个接入点的访问授权。
3.如权利要求1所述的方法,进一步包括步骤期望与接入点通信的无线基站从多个密钥中选择与接入点的访问授权对应的一个密钥,并且与所述接入点交换数据,其中所述无线基站具有与访问授权类型对应的多个密钥。
4.一种根据多个访问授权类而分配一个或多个密钥的方法,包括步骤(a)无线基站请求接入点执行授权,被要求执行授权的所述接入点确定到接入点的访问授权;(b)根据步骤(a)的确定结果,获取密钥并且产生包括所获密钥的共享密钥集;(c)无线基站请求LAN授权服务器执行授权,并且被要求执行授权的LAN授权服务器确定到属于LAN的一个接入点的访问授权;(d)根据步骤(c)的确定结果,获取密钥并且通过将所述密钥添加到共享密钥集中而更新所述共享密钥;(e)无线基站请求WAN授权服务器执行授权,并且被要求执行授权的WAN授权服务器确定到属于WAN的一个接入点的访问授权;以及,(f)根据步骤(e)的确定结果,获取密钥并且通过将所述密钥添加到共享密钥集中而更新所述共享密钥。
5.如权利要求4所述的方法,其中所述步骤(a)进一步包括步骤无线基站请求接入点执行授权,并且被要求执行授权的所述接入点确定到接入点的访问授权是否对应于类1,所述类1表示到被分配了无线基站的访问点的访问授权。
6.如权利要求4所述的方法,其中步骤(c)进一步包括步骤(c1)LAN授权服务器确定到接入点的访问授权是否对应于类2,所述类2表示到包含于无线基站所属的LAN中的预定接入点的访问授权;(c2)如果步骤(c1)的确定结果表示所述访问授权对应于所述类2,则获取类2的密钥,并且确定所述访问授权是否对应于类3,所述类3表示到包含于无线基站所属的LAN中的所有接入点的访问授权;以及(c3)如果步骤(c2)的确定结果表示所述访问授权对应于所述类3,则获取类3的密钥。
7.如权利要求6所述的方法,其中步骤(c2)进一步包括步骤如果步骤(c1)的确定结果表示所述访问授权不对应于所述类2,则分配空密钥;确定所述访问授权是否对应于类3;以及,如果确定结果表示访问授权不对应于所述类3,则分配空密钥。
8.一种用于无线基站的漫游方法,该方法使用根据多个访问授权类而分配的多个密钥,所述方法包括步骤(a)预先设置到一接入点的访问授权,根据多个访问授权类型区分所述多个密钥,以及无线基站预先获取包括对于各个接入点的被区分的多个密钥的密钥集;(b)利用当前在所述密钥集中选定的密钥来接收与一无效通信的接入点通信的命令;(c)确定到无效通信的接入点的访问授权;(d)根据所确定的访问授权从预先获取的密钥集中选择密钥;以及(e)使用选定的密钥加密一传输报文并且与所述无效通信的接入点进行通信。
9.如权利要求8所述的方法,其中所述密钥集的方法授权类型包括类1,表示到被分配了无线基站的访问点的访问授权,类2,表示到包含于被分配了无线基站的局域网(LAN)中的预定接入点的访问授权,类3,表示到包含于被分配了无线基站的局域网(LAN)中的所有接入点的访问授权,以及类4,表示到包含于广域网(WAN)中的多个接入点的访问授权。
10.一种计算机可读介质,其上记录有由计算机可执行的用于执行如权利要求4所述方法的指令程序。
11.一种计算机可读介质,其上记录有由计算机可执行的用于执行如权利要求8所述方法的指令程序。
12.一种根据多个访问授权类而分配多个密钥的装置,包括访问授权确定单元,用于确定对于在来自多个无线基站的一个无线基站和来自多个接入点的一个接入点之间通信的访问授权类;密钥存储单元,根据所述访问授权类而存储所述多个密钥;以及密钥分配单元,用于读取来自所述密钥存储单元的、对应于所述访问授权确定单元的确定结果的密钥,并且将所述密钥值传送给无线基站。
13.如权利要求12所述的装置,其中所述访问授权类包括类1,表示到被分配了无线基站的访问点的访问授权,类2,表示到包含于被分配了无线基站的局域网(LAN)中的预定接入点的访问授权,类3,表示到包含于被分配了无线基站的LAN中的所有接入点的访问授权,以及类4,表示到包含于广域网(WAN)中的多个接入点的访问授权。
14.一种计算机可读介质,其上记录有在无线网络中根据访问授权类用于分配密钥的无线数据分组的结构,所述无线网络包括无线基站和接入点,所述介质包括经由无线网络传送的所述数据分组的报头;访问授权信息存储字段,表示在无线基站和接入点之间通信的访问授权;加密数据字段,其中加密并存储将被传送的数据内容;以及纠错字段,用于校正数据错误。
15.如权利要求14所述的计算机可读介质,其中所述访问授权信息存储字段包括两比特,并且在两比特的全部可能组合中,存储了类1,表示到被分配了无线基站的访问点的访问授权,类2,表示到包含于被分配了无线基站的局域网(LAN)中的预定接入点的访问授权,类3,表示到包含于被分配了无线基站的LAN中的所有接入点的访问授权,以及类4,表示到包含于广域网(WAN)中的多个接入点的访问授权。
全文摘要
本发明提供了一种密钥分配方法,该方法能够通过根据在无线接入网络中的访问授权类提前区分地分配密钥而执行快速的漫游,以及一种使用分配的密钥的漫游方法。所述密钥分配方法包括利用当前在密钥集中选定的密钥来接收与无效通信的接入点进行通信的命令;确定无效通信的接入点的访问授权;根据所确定的访问授权从提前获取的密钥集中选择密钥;以及通过使用选定的密钥来加密传送信息并且与所述无效通信的接入点进行通信。所述方法减少了在无线终端移动中由密钥分配产生的延迟时间,因此实现了快速安全的漫游和切换,并且实现了用户方便而安全的数据传送。
文档编号G06F12/14GK1489398SQ0315501
公开日2004年4月14日 申请日期2003年7月5日 优先权日2002年7月5日
发明者张景训, 李仁琁, 朴钟爱 申请人:三星电子株式会社